Tech Insights

【CVE-2024-51031】Cab Management System 1.0にXSS脆弱性が発覚、ユーザーアカウント管理機能に深刻な影響

【CVE-2024-51031】Cab Management System 1.0にXSS脆弱...

Sourcecodester Cab Management System 1.0のmanage_account.phpにクロスサイトスクリプティング脆弱性が発見された。認証済みユーザーが名前入力フィールドを介して任意のWebスクリプトを注入可能で、ユーザーセッションの窃取やWebサイトの改ざんなどのリスクが指摘されている。MITREは本脆弱性をCVE-2024-51031として識別し、早急な対策を推奨している。

【CVE-2024-51031】Cab Management System 1.0にXSS脆弱...

Sourcecodester Cab Management System 1.0のmanage_account.phpにクロスサイトスクリプティング脆弱性が発見された。認証済みユーザーが名前入力フィールドを介して任意のWebスクリプトを注入可能で、ユーザーセッションの窃取やWebサイトの改ざんなどのリスクが指摘されている。MITREは本脆弱性をCVE-2024-51031として識別し、早急な対策を推奨している。

【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7.14.6と8.7.1で対策実施

【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...

オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。

【CVE-2024-49773】SuiteCRMにSQLインジェクションの脆弱性、バージョン7...

オープンソースCRMソフトウェアSuiteCRMにおいて、認証済みユーザーによるSQLインジェクション攻撃が可能となる脆弱性が発見された。exportエントリーポイントのcurrent_postパラメータを悪用することで、個人情報を含む機密データの漏洩リスクが存在する。対策としてバージョン7.14.6および8.7.1でセキュリティパッチが適用されており、影響を受けるバージョンのユーザーは最新版へのアップグレードが推奨される。

【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、重大度HIGHで早急な対応が必要に

【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...

SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。

【CVE-2024-50332】SuiteCRMにBlind SQLインジェクションの脆弱性、...

SalesagilityはオープンソースCRMソフトウェアSuiteCRMにおいて、DeleteRelationShipの入力値検証が不十分であることによる認証済みBlind SQLインジェクションの脆弱性を公開した。CVSS v3.1で基本評価値8.8の重大度HIGHと評価されており、バージョン7.14.6および8.7.1で修正が完了。現時点で回避策は提供されておらず、影響を受ける可能性のあるユーザーは早急なアップデートが推奨されている。

【CVE-2024-50172】Linuxカーネルにメモリリークの脆弱性、RDMAドライバbnxt_reのセットアップ処理に問題発覚

【CVE-2024-50172】Linuxカーネルにメモリリークの脆弱性、RDMAドライバbn...

Linuxカーネルにおいて、RDMAドライバbnxt_reのセットアップ処理に関連するメモリリーク脆弱性が発見された。bnxt_re_setup_chip_ctx()関数内でbnxt_qplib_map_db_bar()が失敗した際にrdev->chip_ctxのメモリ解放が行われないという問題が確認されている。影響を受けるバージョンは6.5から6.6.59未満、6.11.6未満、6.12-rc4未満となっており、各バージョン向けのパッチが提供されている。

【CVE-2024-50172】Linuxカーネルにメモリリークの脆弱性、RDMAドライバbn...

Linuxカーネルにおいて、RDMAドライバbnxt_reのセットアップ処理に関連するメモリリーク脆弱性が発見された。bnxt_re_setup_chip_ctx()関数内でbnxt_qplib_map_db_bar()が失敗した際にrdev->chip_ctxのメモリ解放が行われないという問題が確認されている。影響を受けるバージョンは6.5から6.6.59未満、6.11.6未満、6.12-rc4未満となっており、各バージョン向けのパッチが提供されている。

【CVE-2024-49774】SuiteCRMのModuleScanner脆弱性が発見、セキュリティ検証の回避が可能に

【CVE-2024-49774】SuiteCRMのModuleScanner脆弱性が発見、セキ...

オープンソースCRMソフトウェアのSuiteCRMにModuleScannerの重大な脆弱性が発見された。特定の構文構造を使用することでセキュリティチェックを回避できる問題が存在し、CVSS v3.1で7.2(High)と評価されている。バージョン7.14.6および8.7.1で修正済みだが、回避策は存在せずアップデートが必須となっている。

【CVE-2024-49774】SuiteCRMのModuleScanner脆弱性が発見、セキ...

オープンソースCRMソフトウェアのSuiteCRMにModuleScannerの重大な脆弱性が発見された。特定の構文構造を使用することでセキュリティチェックを回避できる問題が存在し、CVSS v3.1で7.2(High)と評価されている。バージョン7.14.6および8.7.1で修正済みだが、回避策は存在せずアップデートが必須となっている。

【CVE-2024-47428】Adobe Substance3D - Painter 10.1.0以前に範囲外書き込みの脆弱性、任意コード実行のリスクで早急な対応が必要

【CVE-2024-47428】Adobe Substance3D - Painter 10....

Adobe Substance3D - Painter 10.1.0以前のバージョンに重大な脆弱性が発見された。CVE-2024-47428として識別されるこの脆弱性は、範囲外書き込み(CWE-787)に分類され、CVSSスコア7.8のHighレベルと評価されている。攻撃には悪意のあるファイルを開く必要があるが、成功した場合は現在のユーザー権限でコードが実行される可能性があり、早急な対応が求められている。

【CVE-2024-47428】Adobe Substance3D - Painter 10....

Adobe Substance3D - Painter 10.1.0以前のバージョンに重大な脆弱性が発見された。CVE-2024-47428として識別されるこの脆弱性は、範囲外書き込み(CWE-787)に分類され、CVSSスコア7.8のHighレベルと評価されている。攻撃には悪意のあるファイルを開く必要があるが、成功した場合は現在のユーザー権限でコードが実行される可能性があり、早急な対応が求められている。

【CVE-2024-10996】1000 Projects Bookstore Management System 1.0にSQL injection脆弱性、早急な対応が必要に

【CVE-2024-10996】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のprocess_category_edit.phpファイルでSQL injection脆弱性が発見された。catパラメータの操作により攻撃が可能で、CVSS 4.0では6.9(MEDIUM)の評価。リモートから実行可能で特権不要、exploitも公開済みのため早急な対応が必要となっている。

【CVE-2024-10996】1000 Projects Bookstore Managem...

1000 Projects Bookstore Management System 1.0のprocess_category_edit.phpファイルでSQL injection脆弱性が発見された。catパラメータの操作により攻撃が可能で、CVSS 4.0では6.9(MEDIUM)の評価。リモートから実行可能で特権不要、exploitも公開済みのため早急な対応が必要となっている。

【CVE-2024-49948】Linuxカーネルのqdisc_pkt_len_init関数に脆弱性、GSOパケット処理の安全性に懸念

【CVE-2024-49948】Linuxカーネルのqdisc_pkt_len_init関数に...

Linuxカーネルのネットワークスタックにおいて、qdisc_pkt_len_init関数のGSOパケット処理に関する重要な脆弱性が発見された。virtio_net_hdr_to_skb()関数によるTCPヘッダーの不完全な検証が原因で、特定条件下でバッファアンダーフローが発生する可能性がある。この問題は特にLinux 3.9以降のバージョンに影響を及ぼすため、早急なパッチ適用が推奨されている。

【CVE-2024-49948】Linuxカーネルのqdisc_pkt_len_init関数に...

Linuxカーネルのネットワークスタックにおいて、qdisc_pkt_len_init関数のGSOパケット処理に関する重要な脆弱性が発見された。virtio_net_hdr_to_skb()関数によるTCPヘッダーの不完全な検証が原因で、特定条件下でバッファアンダーフローが発生する可能性がある。この問題は特にLinux 3.9以降のバージョンに影響を及ぼすため、早急なパッチ適用が推奨されている。

【CVE-2024-10989】code-projects E-Health Care System 1.0でSQLインジェクションの脆弱性を発見、医療データの漏洩リスクに警鐘

【CVE-2024-10989】code-projects E-Health Care Sys...

code-projects E-Health Care System 1.0のAdmin/detail.phpファイルにおいて、s_idパラメータに対するSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-10989】として識別され、CVSS 4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されており、医療データの漏洩リスクが指摘されている。

【CVE-2024-10989】code-projects E-Health Care Sys...

code-projects E-Health Care System 1.0のAdmin/detail.phpファイルにおいて、s_idパラメータに対するSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-10989】として識別され、CVSS 4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されており、医療データの漏洩リスクが指摘されている。

【CVE-2024-50245】Linux kernelのntfs3ファイルシステムにデッドロック脆弱性、複数バージョンで修正パッチをリリース

【CVE-2024-50245】Linux kernelのntfs3ファイルシステムにデッドロ...

Linux kernel開発チームは、ntfs3ファイルシステムのmi_read関数におけるデッドロックの脆弱性を公開した。この問題はni_lock_dir()関数内で異なるサブクラスのミューテックスロックが使用されることにより発生し、システムの安定性に影響を与える可能性がある。影響を受けるバージョンは5.15系から6.12-rc3まで広範に及び、各バージョンに対する修正パッチが提供されている。

【CVE-2024-50245】Linux kernelのntfs3ファイルシステムにデッドロ...

Linux kernel開発チームは、ntfs3ファイルシステムのmi_read関数におけるデッドロックの脆弱性を公開した。この問題はni_lock_dir()関数内で異なるサブクラスのミューテックスロックが使用されることにより発生し、システムの安定性に影響を与える可能性がある。影響を受けるバージョンは5.15系から6.12-rc3まで広範に及び、各バージョンに対する修正パッチが提供されている。

高機能ファイラーFilesがパッケージマネージャーScoopに対応、コマンドラインからの導入が可能に

高機能ファイラーFilesがパッケージマネージャーScoopに対応、コマンドラインからの導入が可能に

モダンなデザインが特徴のファイラーFilesが、WindowsのパッケージマネージャーであるScoopへの対応を発表した。これによりコマンドラインからの簡単なインストールが可能となり、開発者やパワーユーザーの利便性が向上。ただしWinGetへの対応については技術的な問題で現在非対応となっている。

高機能ファイラーFilesがパッケージマネージャーScoopに対応、コマンドラインからの導入が可能に

モダンなデザインが特徴のファイラーFilesが、WindowsのパッケージマネージャーであるScoopへの対応を発表した。これによりコマンドラインからの簡単なインストールが可能となり、開発者やパワーユーザーの利便性が向上。ただしWinGetへの対応については技術的な問題で現在非対応となっている。

WinSetView v3.0.0がメジャーバージョンアップ、エクスプローラーの表示スタイルカスタマイズ機能が強化

WinSetView v3.0.0がメジャーバージョンアップ、エクスプローラーの表示スタイルカ...

エクスプローラーの表示スタイルをカスタマイズできるツールWinSetViewがv3.0.0へとメジャーバージョンアップを実施。GitHubでホストされているオープンソースとして公開されており、Windows 7/8/10/11に対応。アイコン表示や一覧表示、詳細表示などの表示モードに加え、並び替えやグルーピング機能も充実。レジストリをGUIで編集可能な点が特徴的である。

WinSetView v3.0.0がメジャーバージョンアップ、エクスプローラーの表示スタイルカ...

エクスプローラーの表示スタイルをカスタマイズできるツールWinSetViewがv3.0.0へとメジャーバージョンアップを実施。GitHubでホストされているオープンソースとして公開されており、Windows 7/8/10/11に対応。アイコン表示や一覧表示、詳細表示などの表示モードに加え、並び替えやグルーピング機能も充実。レジストリをGUIで編集可能な点が特徴的である。

GoogleがChrome 131の安定版をリリース、重要なセキュリティ修正12件を含むアップデートを展開

GoogleがChrome 131の安定版をリリース、重要なセキュリティ修正12件を含むアップ...

米Googleは2024年11月12日、デスクトップ向けGoogle Chromeの安定版チャネルをアップデートし、Windows/Mac環境にv131.0.6778.69/.70を、Linux環境にv131.0.6778.69を展開。Blinkにおける深刻な脆弱性CVE-2024-11110の修正を含む、計12件のセキュリティ修正が実施された。外部研究者からの報告による8件の脆弱性対策も含まれている。

GoogleがChrome 131の安定版をリリース、重要なセキュリティ修正12件を含むアップ...

米Googleは2024年11月12日、デスクトップ向けGoogle Chromeの安定版チャネルをアップデートし、Windows/Mac環境にv131.0.6778.69/.70を、Linux環境にv131.0.6778.69を展開。Blinkにおける深刻な脆弱性CVE-2024-11110の修正を含む、計12件のセキュリティ修正が実施された。外部研究者からの報告による8件の脆弱性対策も含まれている。

【CVE-2024-47074】DataEaseにPostgreSQLデータソースの脆弱性が発見、システム特権取得のリスクが明らかに

【CVE-2024-47074】DataEaseにPostgreSQLデータソースの脆弱性が発...

オープンソースのデータ可視化分析ツールDataEaseにおいて、PostgreSQLデータソースのJDBC接続パラメータに関する深刻な脆弱性が発見された。PgConfigurationクラスがパラメータをフィルタリングせずに直接結合する仕様により、攻撃者がシステム特権を取得できる状態にあった。CVSSスコア9.3の重大な脆弱性は、バージョン1.18.25で修正されている。

【CVE-2024-47074】DataEaseにPostgreSQLデータソースの脆弱性が発...

オープンソースのデータ可視化分析ツールDataEaseにおいて、PostgreSQLデータソースのJDBC接続パラメータに関する深刻な脆弱性が発見された。PgConfigurationクラスがパラメータをフィルタリングせずに直接結合する仕様により、攻撃者がシステム特権を取得できる状態にあった。CVSSスコア9.3の重大な脆弱性は、バージョン1.18.25で修正されている。

【CVE-2024-50105】Linux kernelにSoundwire脆弱性、SC7280カードのストリーム割り当てに問題

【CVE-2024-50105】Linux kernelにSoundwire脆弱性、SC728...

LinuxカーネルにおいてQualcommのSC7280サウンドカードに関する脆弱性が発見された。Soundwireランタイムストリームの割り当て処理の問題により、NULL pointer dereferenceや未初期化メモリアクセスが発生する可能性がある。この問題はLinux 6.8から6.11.5に影響し、6.11.6以降で修正された。

【CVE-2024-50105】Linux kernelにSoundwire脆弱性、SC728...

LinuxカーネルにおいてQualcommのSC7280サウンドカードに関する脆弱性が発見された。Soundwireランタイムストリームの割り当て処理の問題により、NULL pointer dereferenceや未初期化メモリアクセスが発生する可能性がある。この問題はLinux 6.8から6.11.5に影響し、6.11.6以降で修正された。

Adobe CommerceとMagento Open SourceがCommerce Services Connectorの重大な脆弱性に対処、バージョン3.2.6で修正完了

Adobe CommerceとMagento Open SourceがCommerce Ser...

AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。

Adobe CommerceとMagento Open SourceがCommerce Ser...

AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。

【CVE-2024-47830】Planeにサーバサイドリクエストフォージェリの脆弱性、画像処理機能に深刻な問題が発覚

【CVE-2024-47830】Planeにサーバサイドリクエストフォージェリの脆弱性、画像処...

オープンソースのプロジェクト管理ツールPlaneに深刻な脆弱性が発見された。/_next/Imageエンドポイントにおけるワイルドカードサポートの実装により、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が確認され、CVE-2024-47830として報告された。CVSSスコア9.3のクリティカルな脆弱性として評価され、バージョン0.23.0で修正が完了している。

【CVE-2024-47830】Planeにサーバサイドリクエストフォージェリの脆弱性、画像処...

オープンソースのプロジェクト管理ツールPlaneに深刻な脆弱性が発見された。/_next/Imageエンドポイントにおけるワイルドカードサポートの実装により、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が確認され、CVE-2024-47830として報告された。CVSSスコア9.3のクリティカルな脆弱性として評価され、バージョン0.23.0で修正が完了している。

【CVE-2024-45402】picotlsにDouble Free脆弱性が発見、任意のコード実行のリスクが浮上

【CVE-2024-45402】picotlsにDouble Free脆弱性が発見、任意のコー...

h2o社が開発するTLSプロトコルライブラリpicotlsにおいて、偽装されたTLSハンドシェイクメッセージを解析する際に深刻な脆弱性が発見された。この脆弱性は同じメモリ領域を二重に解放してしまう問題で、特定の条件下では攻撃者による任意のコード実行を許してしまう可能性がある。CVSSスコアは8.6(High)と高い深刻度が付与されており、早急な対応が必要とされている。

【CVE-2024-45402】picotlsにDouble Free脆弱性が発見、任意のコー...

h2o社が開発するTLSプロトコルライブラリpicotlsにおいて、偽装されたTLSハンドシェイクメッセージを解析する際に深刻な脆弱性が発見された。この脆弱性は同じメモリ領域を二重に解放してしまう問題で、特定の条件下では攻撃者による任意のコード実行を許してしまう可能性がある。CVSSスコアは8.6(High)と高い深刻度が付与されており、早急な対応が必要とされている。

Microsoft社が.NET Framework 2024年11月アップデートを公開、ASP.NET CoreとEF Coreの改善により開発効率が向上

Microsoft社が.NET Framework 2024年11月アップデートを公開、ASP...

Microsoftは2024年11月12日に.NET 6.0.36と.NET 8.0.11を含む包括的なサービス更新プログラムをリリースした。今回のアップデートではASP.NET CoreやEF Coreなどの主要コンポーネントが更新され、開発者の生産性向上とシステムの安定性強化が図られている。特筆すべき点として、セキュリティ改善が含まれていない点が挙げられる。

Microsoft社が.NET Framework 2024年11月アップデートを公開、ASP...

Microsoftは2024年11月12日に.NET 6.0.36と.NET 8.0.11を含む包括的なサービス更新プログラムをリリースした。今回のアップデートではASP.NET CoreやEF Coreなどの主要コンポーネントが更新され、開発者の生産性向上とシステムの安定性強化が図られている。特筆すべき点として、セキュリティ改善が含まれていない点が挙げられる。

Nordic Semiconductorが次世代ワイヤレスSoC「nRF54Lシリーズ」を発表、IoTアプリケーションの性能向上に貢献

Nordic Semiconductorが次世代ワイヤレスSoC「nRF54Lシリーズ」を発表...

Nordic Semiconductorは次世代ワイヤレスSoC「nRF54Lシリーズ」として「nRF54L15」「nRF54L10」「nRF54L05」を発表した。2.4 GHz周波数帯とMCU機能を統合した超低消費電力チップとして設計され、128 MHzで動作するArm Cortex-M33プロセッサとRISC-Vコプロセッサを搭載。Bluetooth LEやThreadなど複数のプロトコルをサポートし、2024年末までに量産体制に入る予定。

Nordic Semiconductorが次世代ワイヤレスSoC「nRF54Lシリーズ」を発表...

Nordic Semiconductorは次世代ワイヤレスSoC「nRF54Lシリーズ」として「nRF54L15」「nRF54L10」「nRF54L05」を発表した。2.4 GHz周波数帯とMCU機能を統合した超低消費電力チップとして設計され、128 MHzで動作するArm Cortex-M33プロセッサとRISC-Vコプロセッサを搭載。Bluetooth LEやThreadなど複数のプロトコルをサポートし、2024年末までに量産体制に入る予定。

いえらぶBBとエントランスが家賃保証業務で連携開始、申込情報と審査結果のオンライン化で業務効率が向上

いえらぶBBとエントランスが家賃保証業務で連携開始、申込情報と審査結果のオンライン化で業務効率が向上

いえらぶGROUPの不動産業者間流通プラットフォーム「いえらぶBB」が、エントランスと家賃保証業務における申込情報・審査結果の連携を開始した。Web申込み機能との連携により、家賃保証の審査申込みがオンラインで可能となり、申込情報の更新や審査結果の登録がワンクリックで完了する。OWASP ASVSに対応したデータ連携APIを採用し、セキュアな情報のやり取りを実現している。

いえらぶBBとエントランスが家賃保証業務で連携開始、申込情報と審査結果のオンライン化で業務効率が向上

いえらぶGROUPの不動産業者間流通プラットフォーム「いえらぶBB」が、エントランスと家賃保証業務における申込情報・審査結果の連携を開始した。Web申込み機能との連携により、家賃保証の審査申込みがオンラインで可能となり、申込情報の更新や審査結果の登録がワンクリックで完了する。OWASP ASVSに対応したデータ連携APIを採用し、セキュアな情報のやり取りを実現している。

【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトとSSRF攻撃のリスクが浮上

【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトと...

Eclipse Foundationは2024年10月14日、Eclipse JettyのHttpURIクラスにおけるURI解析の脆弱性を公開した。Jetty 7.0.0から12.0.11までの全バージョンが影響を受け、URIのauthority部分における検証が不十分であることが判明。ブラウザとの挙動の違いにより、オープンリダイレクトやSSRF攻撃の危険性が指摘されている。

【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトと...

Eclipse Foundationは2024年10月14日、Eclipse JettyのHttpURIクラスにおけるURI解析の脆弱性を公開した。Jetty 7.0.0から12.0.11までの全バージョンが影響を受け、URIのauthority部分における検証が不十分であることが判明。ブラウザとの挙動の違いにより、オープンリダイレクトやSSRF攻撃の危険性が指摘されている。

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロスサイトスクリプティング脆弱性が発見、修正版のアップデートを推奨

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...

Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5(MEDIUM)と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。

【CVE-2024-49695】WordPress WP Flow Plus 5.2.3にクロ...

Patchstack OÜがWordPress用プラグインWP Flow Plusにおいて、クロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-49695】として識別され、バージョン5.2.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.5(MEDIUM)と評価されており、攻撃者が低い権限で遠隔から攻撃を実行できる可能性がある。Spiffy Pluginsは直ちにこの問題に対応し、バージョン5.2.4で修正を実施している。

【CVE-2024-50440】WordPress用プラグインCodePen Embedded Pens Shortcodeにクロスサイトスクリプティングの脆弱性が発見、バージョン1.0.3で修正完了

【CVE-2024-50440】WordPress用プラグインCodePen Embedded...

Patchstack OÜが2024年10月28日に公開したWordPress用プラグインCodePen Embedded Pens Shortcodeの脆弱性情報によると、バージョン1.0.2以前に深刻なクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明した。CVSSスコアは6.5(中)で、すでにバージョン1.0.3で修正されている。攻撃にはユーザーの関与が必要だが、早急なアップデートが推奨されている。

【CVE-2024-50440】WordPress用プラグインCodePen Embedded...

Patchstack OÜが2024年10月28日に公開したWordPress用プラグインCodePen Embedded Pens Shortcodeの脆弱性情報によると、バージョン1.0.2以前に深刻なクロスサイトスクリプティング(XSS)の脆弱性が存在することが判明した。CVSSスコアは6.5(中)で、すでにバージョン1.0.3で修正されている。攻撃にはユーザーの関与が必要だが、早急なアップデートが推奨されている。

【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修正、メモリ管理機能の強化へ

【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...

Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。

【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...

Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。

【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆弱性、複数バージョンで修正パッチ提供

【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆...

Linuxカーネルの開発チームにより、wwan_rtnl_policyにおけるグローバルなバッファオーバーフロー脆弱性【CVE-2024-50128】が公開された。この問題は、wwan_rtnl_link_opsでの大きなmaxtypeの割り当てにより、netlink属性解析時にグローバルなバッファ外読み取りを引き起こす。影響範囲は広く、バージョン5.14から最新版まで及び、開発チームは迅速にセキュリティパッチを提供している。

【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆...

Linuxカーネルの開発チームにより、wwan_rtnl_policyにおけるグローバルなバッファオーバーフロー脆弱性【CVE-2024-50128】が公開された。この問題は、wwan_rtnl_link_opsでの大きなmaxtypeの割り当てにより、netlink属性解析時にグローバルなバッファ外読み取りを引き起こす。影響範囲は広く、バージョン5.14から最新版まで及び、開発チームは迅速にセキュリティパッチを提供している。

【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システムの安定性向上へ

【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システ...

kernel.orgは2024年11月5日、ASoC QcomのLPASSドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50103】の修正を発表した。この問題はLinux 5.10以降のバージョンに影響を与える可能性があり、特に6.1.115から6.6.59までのバージョンで確認されている。システムクラッシュやサービス拒否攻撃のリスクがあるため、早急なパッチ適用が推奨される。

【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システ...

kernel.orgは2024年11月5日、ASoC QcomのLPASSドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50103】の修正を発表した。この問題はLinux 5.10以降のバージョンに影響を与える可能性があり、特に6.1.115から6.6.59までのバージョンで確認されている。システムクラッシュやサービス拒否攻撃のリスクがあるため、早急なパッチ適用が推奨される。

【CVE-2024-50131】Linuxカーネルのトレーシング機能に重大な脆弱性、バッファオーバーフロー対策のアップデートを実施

【CVE-2024-50131】Linuxカーネルのトレーシング機能に重大な脆弱性、バッファオ...

Linuxカーネルのトレーシング機能において、NULL文字の扱いに関する重大な脆弱性が発見された。strlen()関数による文字列長の計算に問題があり、バッファオーバーフローが発生する可能性があった。この問題は5.1以降の広範なバージョンに影響を与えており、5.4.285、5.10.229、5.15.170などの主要バージョンで修正パッチが適用された。

【CVE-2024-50131】Linuxカーネルのトレーシング機能に重大な脆弱性、バッファオ...

Linuxカーネルのトレーシング機能において、NULL文字の扱いに関する重大な脆弱性が発見された。strlen()関数による文字列長の計算に問題があり、バッファオーバーフローが発生する可能性があった。この問題は5.1以降の広範なバージョンに影響を与えており、5.4.285、5.10.229、5.15.170などの主要バージョンで修正パッチが適用された。

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザーによるサーバーサイド攻撃のリスクに

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...

Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...

Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。

【CVE-2024-52043】HumHub 1.16.2にユーザー列挙の脆弱性、エラーメッセージによる情報漏洩のリスクに警戒

【CVE-2024-52043】HumHub 1.16.2にユーザー列挙の脆弱性、エラーメッセ...

VULSec LabsがHumHub GmbH & Co. KGのHumHubに存在するユーザー列挙の脆弱性を発見した。Linux環境の全バージョンからバージョン1.16.2まで影響を受け、CVSSスコア6.9のミディアム深刻度に分類されている。認証不要でアクセス可能な本脆弱性は、エラーメッセージを通じた機密情報の露出により、追加攻撃の足がかりとなる可能性がある。

【CVE-2024-52043】HumHub 1.16.2にユーザー列挙の脆弱性、エラーメッセ...

VULSec LabsがHumHub GmbH & Co. KGのHumHubに存在するユーザー列挙の脆弱性を発見した。Linux環境の全バージョンからバージョン1.16.2まで影響を受け、CVSSスコア6.9のミディアム深刻度に分類されている。認証不要でアクセス可能な本脆弱性は、エラーメッセージを通じた機密情報の露出により、追加攻撃の足がかりとなる可能性がある。